7
Fortigate VPN - Ping zu langsam
Die Pingzeit durh den VPN mit 2 Fortigate ist zu lang. Warum?
Hallo,
folgende VPN-Situation macht mir intensive Kopfschmerzen (weil die Anwender sich zu Recht ärgern ..):
Zwei Standorte sind über FG ans Internet verbunden, einer mit FG50A, einer mit FG50B.
Beide Standorte haben SDSL 2000, die Pingzeiten ins Internet sind ca 30ms.
Beide Standorte sind mit einem VPN-Tunnel gekoppelt, über welchen zwei Server miteinander arbeiten (ADS, Fileserver, Email).
Außerdem geht über den Tunnel ein LAN-gekoppelte TK-Analge mit 4 Kanälen (ca. 4x 80kBit = 320kBit Bandbreite benötigt).
Die Pingzeiten von einem Server zum anderen liegen bei zu hohen 280ms, so daß die Telefonie zum erliegen kommt.
An der FG50A sind zudem noch 6 VPN eingerichtet, welche sich via FG-VPN-CLient anmelden (RemoteDesktop).
Ist die 2MBit Leitung da schon zu dünn ? Oder ists nicht richtig eingerichtet ?
Schon mal vielen Dank im Voraus !
Hallo,
folgende VPN-Situation macht mir intensive Kopfschmerzen (weil die Anwender sich zu Recht ärgern ..):
Zwei Standorte sind über FG ans Internet verbunden, einer mit FG50A, einer mit FG50B.
Beide Standorte haben SDSL 2000, die Pingzeiten ins Internet sind ca 30ms.
Beide Standorte sind mit einem VPN-Tunnel gekoppelt, über welchen zwei Server miteinander arbeiten (ADS, Fileserver, Email).
Außerdem geht über den Tunnel ein LAN-gekoppelte TK-Analge mit 4 Kanälen (ca. 4x 80kBit = 320kBit Bandbreite benötigt).
Die Pingzeiten von einem Server zum anderen liegen bei zu hohen 280ms, so daß die Telefonie zum erliegen kommt.
An der FG50A sind zudem noch 6 VPN eingerichtet, welche sich via FG-VPN-CLient anmelden (RemoteDesktop).
Ist die 2MBit Leitung da schon zu dünn ? Oder ists nicht richtig eingerichtet ?
Schon mal vielen Dank im Voraus !
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 95862
Url: https://administrator.de/contentid/95862
Ausgedruckt am: 23.11.2024 um 12:11 Uhr
7 Kommentare
Neuester Kommentar
Hallo,
eine generelle Aussage läßt sich hierzu nicht treffen, da sind einfach mehr Informationen/Tests notwendig:
1. Welche Firmware verwenden die beiden Fortigates (aktuell ist FortiOS 3.00 MR7 build 726)
2. Welche RAM-Auslastung haben die beiden Fortigates (kritisch auf der FG-50A, dieses Modell hat nur 128 MB RAM, ab ca. 70% Auslastung wird es knapp).
3. Wie sind die VPN-Parameter der Phase2 eingerichtet (Quick Mode Selector Source und Dest. jeweils 0.0.0.0/0)?
4. Wie sind die Policies eingerichtet: Evtl. nur eine Policy für den gesamten Traffic zwischen den Aussenstellen?
5. Ist Traffic Priorisierung eingerichtet? Wenn ja mit welchen Werten?
6. Wird für den Tunnel-Trafic Virenscan/IPS vorgenommen?
7. Wie sind die Ping-Zeiten zum ext. Interface der Remote-Fortigate (evtl. tracert machen)?
8. Eine 2 Mbit/s Leitung (das sind ca. 250 kByte/s) sollte eigentlich ausreichen, bitte mal die Bandbreite überprüfen (z. B. mit http://www.wieistmeineip.de/ ), hierzu allerdings kurzzeitig das Protection Profile deaktivieren, da man ansonsten keine exakten Werte erhält.
mfg
Harald
eine generelle Aussage läßt sich hierzu nicht treffen, da sind einfach mehr Informationen/Tests notwendig:
1. Welche Firmware verwenden die beiden Fortigates (aktuell ist FortiOS 3.00 MR7 build 726)
2. Welche RAM-Auslastung haben die beiden Fortigates (kritisch auf der FG-50A, dieses Modell hat nur 128 MB RAM, ab ca. 70% Auslastung wird es knapp).
3. Wie sind die VPN-Parameter der Phase2 eingerichtet (Quick Mode Selector Source und Dest. jeweils 0.0.0.0/0)?
4. Wie sind die Policies eingerichtet: Evtl. nur eine Policy für den gesamten Traffic zwischen den Aussenstellen?
5. Ist Traffic Priorisierung eingerichtet? Wenn ja mit welchen Werten?
6. Wird für den Tunnel-Trafic Virenscan/IPS vorgenommen?
7. Wie sind die Ping-Zeiten zum ext. Interface der Remote-Fortigate (evtl. tracert machen)?
8. Eine 2 Mbit/s Leitung (das sind ca. 250 kByte/s) sollte eigentlich ausreichen, bitte mal die Bandbreite überprüfen (z. B. mit http://www.wieistmeineip.de/ ), hierzu allerdings kurzzeitig das Protection Profile deaktivieren, da man ansonsten keine exakten Werte erhält.
mfg
Harald
Hallo Harald,
danke für die schnellen Tips, werde alles prüfen.
canguru
danke für die schnellen Tips, werde alles prüfen.
canguru
Hallo canguru,
hier sind nochmal meine Empfehlungen kurz zusammengefasst:
1. IPSec Phase1: Main Mode mit festen IP-Adressen oder Agressive Mode mit DynDNS-Records auf beiden Seiten
2. IPSec Phase2: Quick Mode Selector Source und Dest. jeweils 0.0.0.0/0
3. Eine ENCRYPT-Policy für den Traffic der TK-Anlagen (kein AV/IPS, Prio: high, garant. Bandbreite 40 kByte/s, max. Bandbreite 60 kByte/s), diese Policy an die erste Stelle der Policy-Liste setzen.
4. Eine ENCRYPT-Policy für den restlichen Traffic zwischen den beiden Standorten (default Prio auf medium setzen)
5. Die RAM-Auslastung der FG-50A prüfen
a) In den neueren Firmwares (MR6 und MR7) wurden Optimierungen eingeführt.
b) Evtl muß IPS/Logging, etc. komplett abgeschalten werden (http://kc.forticare.com/default.asp?id=1076&SID=&Lang=1) ).
c) Wenn alles nichts hilft (RAM-Auslastung ist permanent über 70%) muß die FG-50A ausgetauscht werden.
mfg
Harald
hier sind nochmal meine Empfehlungen kurz zusammengefasst:
1. IPSec Phase1: Main Mode mit festen IP-Adressen oder Agressive Mode mit DynDNS-Records auf beiden Seiten
2. IPSec Phase2: Quick Mode Selector Source und Dest. jeweils 0.0.0.0/0
3. Eine ENCRYPT-Policy für den Traffic der TK-Anlagen (kein AV/IPS, Prio: high, garant. Bandbreite 40 kByte/s, max. Bandbreite 60 kByte/s), diese Policy an die erste Stelle der Policy-Liste setzen.
4. Eine ENCRYPT-Policy für den restlichen Traffic zwischen den beiden Standorten (default Prio auf medium setzen)
5. Die RAM-Auslastung der FG-50A prüfen
a) In den neueren Firmwares (MR6 und MR7) wurden Optimierungen eingeführt.
b) Evtl muß IPS/Logging, etc. komplett abgeschalten werden (http://kc.forticare.com/default.asp?id=1076&SID=&Lang=1) ).
c) Wenn alles nichts hilft (RAM-Auslastung ist permanent über 70%) muß die FG-50A ausgetauscht werden.
mfg
Harald
Hallo Harald,
die Firmware ist Fortigate-50A 3.00,build8468,070504,
die eine Seite hat feste IP, die andre per DynNDS (nicht so glücklich, ich weiß). Von beiden Seiten geht ein VPN Tunnel zur andren. IPSec_1 ist bei beiden im Mainmode. Sollte da von fester zur dynamischen IP aggresive zugriffen werden ?
Die Policy des Tunnels steht bei beiden an oberster Stelle.
TrafficShaping hab ich grad eingerichtet - wie kommst du auf die Bandbreiten ?
Meintest du, einen extra zweiten Tunnel für VoIP aufzusetzen ? Damit könnte man dann die Bandbreitenressourcen verteilen ... aber wie kann ich diesen auf Voip-Pakete begrenzen ?
Grüße, canguru
die Firmware ist Fortigate-50A 3.00,build8468,070504,
die eine Seite hat feste IP, die andre per DynNDS (nicht so glücklich, ich weiß). Von beiden Seiten geht ein VPN Tunnel zur andren. IPSec_1 ist bei beiden im Mainmode. Sollte da von fester zur dynamischen IP aggresive zugriffen werden ?
Die Policy des Tunnels steht bei beiden an oberster Stelle.
TrafficShaping hab ich grad eingerichtet - wie kommst du auf die Bandbreiten ?
Meintest du, einen extra zweiten Tunnel für VoIP aufzusetzen ? Damit könnte man dann die Bandbreitenressourcen verteilen ... aber wie kann ich diesen auf Voip-Pakete begrenzen ?
Grüße, canguru
Hallo,
ich bin mir nicht sicher, was das für eine Build-Nummer ist, allerdings schon eine ziemlich alte (2007-05-04).
Bitte auf eine aktuelle Firmware updaten.
Wenn eine Seite nur einen DynDNS-Record hat, so müssen beide Seiten in den Aggressive Mode geschaltet werden. Der Mode muß immer auf beiden Seiten identisch sein --> Main Mode geht also nur, wenn auch beide Seiten statische IP's haben.
Wegen der Priorisierung bitte den Traffic der TK-Anlagen (Source: TK-Ankage Standort1 / Dest: TK-Anlage Standort2 ) und den restlichen Traffic trennen --> 2 separaten Policies einrichten, dabei TK-Anlage an oberster Stelle. Nur für die TK-Policy Trafic Shaping einrichten, für die anderen Policies nicht --> hier wird dann einfach die default Prio verwendet.
Wenn du das nicht trennst, so wird die Priorisierung auf sämtlichen Traffic zwischen den beiden Standorten angewendet und nicht nur auf den TK-Traffic. Damit wäre der Sinn einer Priorisierung dann nicht erreicht.
Achtung: Die Default Prio der Fortigates steht auf "high", damit das wirklich funktioniert muß die default Prio auf "medium" geändert werden und deiner TK-Traffic-Policy explizit die Prio "high" gegeben werden.
Auf der Konsole:
conf sys glo
set tos-based-priority medium
end
Zur Bandbreitenberechnung: Du hast oben geschrieben "4 Kanälen (ca. 4x 80kBit = 320kBit)"
320 kbit/s sind nun mal 40 kByte/s (in den Fortigates wird das in kByte/s angegeben!), die 60 kBytes/s sind dann noch mal 50% (von 40 kBytes/s) Reserve dazugerechnet.
Wie sieht die RAM-Auslastung aus?
mfg
Harald
ich bin mir nicht sicher, was das für eine Build-Nummer ist, allerdings schon eine ziemlich alte (2007-05-04).
Bitte auf eine aktuelle Firmware updaten.
Wenn eine Seite nur einen DynDNS-Record hat, so müssen beide Seiten in den Aggressive Mode geschaltet werden. Der Mode muß immer auf beiden Seiten identisch sein --> Main Mode geht also nur, wenn auch beide Seiten statische IP's haben.
Wegen der Priorisierung bitte den Traffic der TK-Anlagen (Source: TK-Ankage Standort1 / Dest: TK-Anlage Standort2 ) und den restlichen Traffic trennen --> 2 separaten Policies einrichten, dabei TK-Anlage an oberster Stelle. Nur für die TK-Policy Trafic Shaping einrichten, für die anderen Policies nicht --> hier wird dann einfach die default Prio verwendet.
Wenn du das nicht trennst, so wird die Priorisierung auf sämtlichen Traffic zwischen den beiden Standorten angewendet und nicht nur auf den TK-Traffic. Damit wäre der Sinn einer Priorisierung dann nicht erreicht.
Achtung: Die Default Prio der Fortigates steht auf "high", damit das wirklich funktioniert muß die default Prio auf "medium" geändert werden und deiner TK-Traffic-Policy explizit die Prio "high" gegeben werden.
Auf der Konsole:
conf sys glo
set tos-based-priority medium
end
Zur Bandbreitenberechnung: Du hast oben geschrieben "4 Kanälen (ca. 4x 80kBit = 320kBit)"
320 kbit/s sind nun mal 40 kByte/s (in den Fortigates wird das in kByte/s angegeben!), die 60 kBytes/s sind dann noch mal 50% (von 40 kBytes/s) Reserve dazugerechnet.
Wie sieht die RAM-Auslastung aus?
mfg
Harald
Hallo Harald,
danke für die Hilfen, ich hab jetzt das Shaping eingerichtet, die Pings sind ganz in Ordnung. Werde es morgen nochmal unter Last testen.
Die RAM-Auslastung liegt bei 44% (FG50B) und 69% (FG50A).
Am Rande: Was ich nur nicht verstehe, warum funktioniert ein IPSec zu Dyndns-Anbindungen nur mim Aggressive Mode ? Hab keine Info sazu finden können...
viele Grüße,
canguru
danke für die Hilfen, ich hab jetzt das Shaping eingerichtet, die Pings sind ganz in Ordnung. Werde es morgen nochmal unter Last testen.
Die RAM-Auslastung liegt bei 44% (FG50B) und 69% (FG50A).
Am Rande: Was ich nur nicht verstehe, warum funktioniert ein IPSec zu Dyndns-Anbindungen nur mim Aggressive Mode ? Hab keine Info sazu finden können...
viele Grüße,
canguru
Hallo,
das ist die Standard-Konfig entsprechend der Empfehlungen von Fortigate. Nach meinen eigenen Erfahrungen kann es auch im Main-Mode funktionieren (auch hier sollten wieder beide Seiten den gleichen Mode verwenden), für Troubleshooting-Zwecke greife ich allerdings auf die Fortinet-Empfehlungen zurück.
Eine RAM-Auslastung <70% auf der FG-50A ist im grünen Bereich.
mfg
Harald
das ist die Standard-Konfig entsprechend der Empfehlungen von Fortigate. Nach meinen eigenen Erfahrungen kann es auch im Main-Mode funktionieren (auch hier sollten wieder beide Seiten den gleichen Mode verwenden), für Troubleshooting-Zwecke greife ich allerdings auf die Fortinet-Empfehlungen zurück.
Eine RAM-Auslastung <70% auf der FG-50A ist im grünen Bereich.
mfg
Harald
